skip to Main Content

Cybercrime, Ursnif/Gozi in Italia passa dall’Agenzia delle Entrate

Analisi tecnica del Malware Hunter JAMESWT

Ursnif/Gozi torna in Italia con l’esca dell’Agenzia delle Entrate. Nuova campagna malspam sfrutta una falsa “disposizione” per far aprire l’allegato protetto. Questo contatta un unico link da una lista interna e scarica una DLL da cui parte l’infezione del malware

Ursnif/Gozi è ancora al centro di una campagna del cybercrime in Italia, che sfrutta come esca l’Agenzia delle Entrate e il suo direttore. In queste ore circolano una serie di email in cui “dispone” l’immediata presa visione degli allegati. Questi sono un file .xls, protetto da una password (“agenzia”, fornita nel messaggio). Se aperto, contatta un unico link diverso per ogni attachment per scaricare una DLL, che darà il via alla catena d’infezione del malware. L’attacco, peraltro, prende espressamente di mira il nostro paese. La DLL, infatti, si scarica solo dagli IP italiani, anche se a volte i link sono raggiungibili da IP in altre nazioni. Ursnif/Gozi è un trojan bancario, capace di intercettare traffico di rete, trafugare credenziali e scaricare altri malware.

La falsa mail dell’Agenzia delle Entrate con la “disposizione” del direttore

Back To Top